Bye-bye, Passwörter! – Hallo, Passkeys!
Der größte Teil der Beiträge in diesem Blog widmet sich dem Thema Cybersicherheit bzw. Cybercrime. Ich habe das Gefühl, den Kriminellen gehen nie die Ideen aus, wie sie an unsere Daten kommen und diese für ihre hinterhältigen Machenschaften nutzen können.
Doch die helle Seite der Macht sieht hierbei nicht untätig zu. Die Sicherheitsvorkehrungen werden immer ausgeklügelter und machen es Kriminellen zunehmend schwerer ihrer täglichen Arbeit nachzugehen.
Ein wichtiger Schritt in die Datensicherheit ist die Einführung von Passkeys, diese sollen die bisher bei der Anmeldung genutzten Passwörter zukünftig ablösen.
Das leidige Problem mit den Passwörtern
Ja, wir kennen alle die Regeln für die sichere Vergabe von Passwörtern: nur starke Passwörter nutzen, die nicht nachvollziehbar sind, jedes Passwort nur einmal benutzen, nicht in der Öffentlichkeit eingeben und so weiter. So weit die Theorie, aber wie sieht es in der Praxis aus? Viele nutzen dasselbe Passwort für mehrere Accounts und sind bei der Erstellung nicht besonders kreativ. Und dann muss man sich die ganze Flut an Benutzernamen und Kennwörtern ja auch noch irgendwie merken können.
Türwächter und Schlüsselmeister
Vordergründig erscheint die Einrichtung und Nutzung der Passkeys einfach, doch die kryptografische Funktionsweise, die dahintersteht ist äußerst komplex:
Das Wort „Passkey“ setzt sich aus den englischen Begriffen „Password“ und „key“ zusammen – quasi ein digitaler Schlüssel. Bei der Anmeldung wird der Schlüssel angefragt und parallel dazu wird eine so genannte Challenge gestellt, die nur mithilfe eines Passkeys gelöst werden kann. Eine solche Challenge kann z. B. eine biometrische Authentifizierung per Fingerabdruck oder Gesichtserkennung sein. Übermittelt wird hierbei jedoch nicht der Schlüssel selbst sondern lediglich das Ergebnis der Challenge. So kann die Identität zweifelsfrei zugeordnet werden ohne persönliche Daten preiszugeben.
Die Passkeys sind beispielsweise auf dem Smartphone hinterlegt. Damit es auch bei einem Gerätediebstahl nicht zu einem Sicherheitsleck kommt, besteht die Anmeldung immer aus zwei Komponenten:
Dem „Besitz“ des geheimen Schlüssels und dem „Wissen“ (z. B. der erforderlichen PIN) bzw. der „Biometrie“ (z. B. dem persönlichen Fingerabdruck).
Und genau das macht die Sache so sicher: Der Nutzer weist nach, dass er den Schlüssel besitzt, gibt diesen jedoch zu keiner Zeit weiter.
Der Vorteil gegenüber Passwörtern
Zurzeit sind passwortgeschützte Zugänge standard, jedoch weit weg von Perfektion. Wie bereits oben erwähnt, muss man möglichst starke Passwörter vergeben und sich diese dann auch noch merken. Eine weitere Gefahr ist die unbeabsichtigte Weitergabe der Passwörter z. B. bei Phishing-Attacken. Der Diebstahl von Passkeys ist nicht so einfach, da sie nur auf dem jeweiligen Gerät und nicht auf einem Webserver gespeichert werden.
Man könnte nun das Sicherheitsrisiko der Bluetooth-Übertragung ins Feld führen. Hierfür muss sich der Dieb jedoch in unmittelbarer Nähe zum Gerät befinden und benötigt ja auch noch die zweite Authentifizierungskomponente.
Neben dem Faktor Sicherheit, ist auch der Komfort erheblich höher, da keine manuelle Eingabe eines Passworts mehr erforderlich ist.
Aber wo Licht ist, ist auch Schatten. Das Ganze hat auch Nachteile, denn Passkeys können, da sie geräte- und nicht personenbezogen sind, nicht einfach weitergegeben werden.
Und wie geht das jetzt?
Einige Anbieter nutzen bereits die Anmeldemöglichkeit per Passkey. Dies können Sie einmalig unkompliziert einrichten. Loggen Sie sich zukünftig auf dieser Webseite oder App ein, wählen Sie aus, wer sich anmeldet und bestätigen dies mit der zweiten von Ihnen festgelegten Komponente (z. B. Fingerabdruck).
Klingt einfach – ist es auch. Und trägt in hohem Maße zum Schutz Ihrer Daten bei.
Es ist schön, mal über positive Entwicklungen im Bereich Datensicherheit sprechen zu können und zu zeigen, dass wir Cyberkriminellen nicht schutzlos ausgeliefert sind.
In diesem Sinne,
passen Sie auf sich und Ihre Daten auf!
Recent Comments